[Sysadmins] iptables performance

Пн Апр 14 15:57:10 MSD 2008

Денис Смирнов написав(ла):
> On Mon, Apr 14, 2008 at 02:39:16PM +0300, Andriy Khavryuchenko wrote:
>>> В этом случае имхо эффективнее не просто блочить, а, например,
>>> использовать TARPIT из PoM.
> AK> Разница несущественная, т.к. *размер* атакующего ботнета больше, чем 
> AK> "просто так" переваривает iptables.  Вне зависимости от того, куда этот 
> AK> ботнет -j
> 
> Можно написать свой генератор правил для iptables, который будет помнить
> про такую замечательную вещь как "двоичное деление". За счет этого можно
> даже при очень больших таблицах обойтись ну никак не тысячами сравнений.

Ммм..  Не понял.  Разложить этот (достаточно случайный) набор ip адресов 
в binary tree правил iptables?  Это ж сколько цепочек будет :)

-- 
 > > We have System/XFree86 group but not XFree86 itself.  A bug?
 > еще какой. должно быть System/X
заменить нельзя добавить?
		-- ldv in #5372